Использование программы «Миграция в Active Directory»
Внимание! Решение проблемы связано с внесением изменений в системный реестр. Перед внесением изменений в системный реестр рекомендуется создать архивную копию системного реестра и изучить процедуру восстановления системного реестра. За дополнительной информацией по использованию редактора реестра обратитесь к следующей статье Microsoft Knowledge Base:
256986 Description of the Microsoft Windows Registry
Аннотация Данная статья описывает настройку программы «Миграция в Active Directory» (ADMT), позволяющей преобразовать домен на основе Windows 2000 в домен Windows Server 2003. Дополнительная информация Внимание! Некорректное использование редактора системного реестра может привести систему в неработоспособное состояние и потребовать проведения полной переустановки операционной системы. Microsoft не несет ответственности за некорректное использование редактора реестра.
ADMT позволяет произвести миграцию данных о пользователях, группах и компьютерах из одного домена в другой, а также проанализировать результаты этой миграции как до, так и после ее выполнения.
Примечание. В статьте предполагается, что исходный домен основан на Windows 2000, а конечный является доменом Windows Server 2003, работающим в основном режиме Windows 2000 или более поздней версии этой операционной системы. Как настроить ADMT для выполнения миграции с Windows 2000 на Windows Server 2003 Программу «Миграция в Active Directory» версии 2 (ADMTv2) можно установить на любой компьютер с операционной системой Windows 2000 или более поздней версии, включая:
Microsoft Windows 2000 Professional
Microsoft Windows 2000 Server
Microsoft Windows XP Professional
Microsoft Windows Server 2003
Компьютер, на который устанавливается ADMTv2, должен входить либо в исходный, либо в конечный домен.
Миграция внутри леса Миграция внутри леса не требует какой-либо специальной настройки домена. Учетная запись, от имени которой будет запускаться ADMT, должна иметь права, достаточные для выполнения требующихся ADMT действий. Например, этой учетной записи необходимо разрешение на удаление учетных записей из исходного домена и создание учетных записей в конечном домене.
Миграция внутри леса по сути является операцией перемещения, а не копирования. В каком-то смысле она является деструктивной, так как после перемещения объекты исчезают из исходного домена. В силу того что объекты не копируются, а перемещаются, некоторые действия, являющиеся необязательными при миграции между лесами, в данном случае выполняются автоматически. Например, при миграции внутри леса происходит автоматический перенос атрибутов sIDHistory и паролей.
Миграция между лесами В данном случае ADMT требуются следующие разрешения.
Права администратора в исходном домене.
Права администратора на каждом из компьютеров, для которых выполняется миграция.
Права администратора на каждом из компьютеров, на который мигрируют параметры безопасности.
Перед тем как начать миграцию с домена Windows 2000 в домен Windows Server 2003, необходимо выполнить настройку некоторых параметров домена и безопасности. Миграция компьютеров и перенос параметров безопасности не требуют специальной настройки домена. Однако каждый из компьютеров, для которого выполняется миграция, должен иметь административные общие ресурсы C$ и ADMIN$.
Учетная запись, от имени которой запускается ADMT, должна иметь права, достаточные для выполнения всех нужных задач. В частности, ей необходимо разрешение на создание учетных записей компьютеров в конечном домене и подразделении; эта запись также должна входить в локальную группу администраторов на каждом из компьютеров, для которых выполняется миграция.
Миграция пользователей и групп Исходный домен следует настроить так, чтобы он доверял конечному. При желании доверительные отношения можно сделать двусторонними, чтобы конечный домен доверял исходному. Это упростит настройку, однако для завершения миграции с помощью ADMT не требуется.
Требования, относящиеся к выполнению необязательных задач миграции Перечисленные ниже задачи могут быть выполнены автоматически при запуске мастера миграции пользователей в тестовом режиме и выборе режима миграции sIDHistory. Автоматическая настройка будет успешной только в случае, если учетная запись, от имени которой запускается ADMT, имеет привилегии администратора как в исходном, так и в конечном домене.
Создайте в исходном домене локальную группу с именем %sourcedomain%$$$. Эта группа не должна содержать ни одной учетной записи.
Включите аудит успешных и неуспешных операций для параметра политики безопасности «Аудит управления учетными записями» для обоих доменов в используемой по умолчанию политике для контроллеров доменов.
Разрешите в исходном домене доступ к SAM через удаленный вызов процедур (RPC); для этого на эмуляторе основного контроллера домена (PDC) в исходном домене необходимо создать указанный параметр типа DWORD со значением 1:
После добавления этого параметра эмулятор основного контроллера домена следует перезапустить.
Примечание. В доменах Windows 2000 учетная запись, от имени которой запускается ADMTv2, должна иметь права администратора домена в обоих доменах: исходном и конечном. В конечных доменах Windows Server 2003 миграция атрибута sIDHistory может делегироваться. Дополнительные сведения см. в центре справки и поддержки Windows Server 2003.
Чтобы включить миграцию паролей между лесами, необходимо установить библиотеку, выполняющуюся в контексте LSA. Работа в этом защищенном контексте предотвращает просмотр паролей в незашифрованном текстовом виде кем бы то ни было, включая саму операционную систему. Установка библиотеки защищена секретным ключом, который создается ADMTv2 и устанавливается администратором.
Чтобы установить библиотеку миграции паролей.
Войдите с правами администратора на компьютер, где установлена программа ADMTv2.
Введите в командной строке команду: ADMT KEY исходный_доменпуть [* | пароль]; она создаст файл ключа для экспорта паролей (.pes). В этом примере исходный_домен представляет собой NetBIOS-имя исходного домена, а путь — это путь к файлу, содержащему ключ. Путь обязан быть локальным, однако может указывать на съемный носитель, такой, как гибкий диск, ZIP-диск или записываемый компакт-диск. Необязательный пароль позволяет дополнительно защитить сам PES-файл. При вводе звездочки (*) ADMT выдаст запрос на ввод пароля (который при вводе не будет отображаться на экране).
Переместите созданный на шаге 2 PES-файл на сервер экспорта паролей в исходном домене. Эту роль может играть любой контроллер домена, имеющий быстрый и надежный доступ к компьютеру, на котором запущена программа ADMT.
Установите библиотеку миграции паролей на сервер экспорта паролей с помощью программы Pwmig.exe. Pwmig.exe находится в папке I386\ADMT установочного носителя Windows Server 2003 или папке, в которую была помещена программа ADMTv2 при загрузке из Интернета.
В ответ на запрос укажите путь к созданному на шаге 2 PES-файлу. Этот путь должен быть локальным.
По завершении установки сервер требуется перезапустить.
Непосредственно перед миграцией паролей измените значение указанного ниже параметра реестра типа DWORD на 1. Чтобы минимизировать риск, не делайте это заранее.
Более подробные сведения о выполнении миграции с помощью ADMT содержатся в справке ADMT. Запустите программу «Миграция в Active Directory», выберите пункт Вызов справки в меню Справка, откройте вкладку Содержание и выберите в списке Миграция в Active Directory.
Более подробные сведения об ADMT см. на веб-сайте Майкрософт:
Дополнительные сведения об использовании ADMT для миграции с домена Microsoft Windows NT 4.0 на домен Windows Server 2003 см. статью Microsoft Knowledge Base:
325851 HOW TO: Set Up ADMT for a Windows NT 4.0-to-Windows Server 2003 Migration
Программа «Миграция в Active Directory» версии 2 находится в папке I386\Admt на компакт-диске Windows Server 2003.
Информация в данной статье применима к:
Microsoft Windows 2000 Server
Microsoft Windows 2000 Advanced Server
Microsoft Windows Server 2003, Standard Edition
Microsoft Windows Server 2003, Enterprise Edition
Microsoft Windows Server 2003, Datacenter Edition
Microsoft Windows Server 2003, 64-Bit Enterprise Edition
Microsoft Windows Server 2003, 64-Bit Datacenter Edition
